클라우드 산업 활성화를 위한 품질·보안 기준이 나왔다. 신뢰성을 담보할 안전장치와 산업 확산 요건을 명문화했다. 국정원 지침 등 일부 규제는 논란이 될 전망이다.
22일 미래창조과학부는 서울 양재동 엘타워에서 공청회를 개최하고 ‘클라우드컴퓨팅 발전 및 이용자보호에 관한 법률(클라우드 발전법)’ 관련 고시안을 발표했다. 업계 의견을 수렴한 뒤 관계부처 협의, 규제심사 등을 거쳐 오는 4월 시행된다.
고시는 정보보호 기준, 품질·성능 기준으로 나뉜다. 사업자 보안수준을 객관적으로 입증하는 평가항목과 신뢰성 향상을 위한 품질·성능 측정기준을 담았다.
클라우드 확산 우선 선결조건인 ‘보안’을 강화하고자 관리적·물리적·기술적 보호조치와 공공기관용 추가 보호조치 등 14개 부문 118개 통제항목이 제시됐다. 사업자 부담을 덜고자 미국(17개 325항목), 일본(12개 135항목)과 비교해 통제항목을 줄였다.
그 대신 데이터 보호와 암호화 부문을 강화했다. 클라우드 핵심기능 가상화 중요성을 감안해 가상화 보안 부문을 인프라, 운영환경으로 세분화했다. 이용자 보호를 위해 클라우드 발전법에서 규정한 침해사고 및 장애발생 보고, 정보공개 등을 반영했다. 전산장비 안전성, 물리적 분리, 이중화 및 백업체계 구축 등 공공기관에 필요한 사항도 추가했다.
서성일 미래부 SW진흥과장은 “클라우드 서비스가 보안 불안감으로 확산에 어려움을 겪었다”며 “신뢰할 수 있는 최소한 장치를 마련했다는 데 의미가 있다”고 말했다.
정보보호 기준 준수여부를 확인하는 ‘보안인증제’도 추진한다. 공공기관이 안심하고 민간 클라우드 서비스를 이용하는 토대를 마련한다. 한국인터넷진흥원에서 시험·평가한 뒤 클라우드 스토어에 공개한다.
클라우드 서비스 품질·성능 측정 기준과 준수사항도 고시에 명시했다.
주요 기준은 △정해진 서비스 운영시간 대비 클라우드 서비스에 접속이 가능한 시간 비율(가용성) △서비스 이용자 요구 시점부터 완료까지 걸리는 시간(응답성) △서비스 기능 추가로 확장할 때 클라우드 서비스가 유지되는 시스템 구조(확장성)가 제시됐다. 서비스 회복시간, 백업주기, 백업 준수율 등 신뢰성을 비롯해 서비스 지속성, 서비스 지원, 고객대응도 기준이다.
제시한 기준을 중심으로 민간 중심 품질평가 체계를 구축한다. 측정절차, 방법 등에 관한 서비스별 세부기준 안내서를 제공해 민간 서비스 역량을 제고한다. 서비스형 플랫폼(PaaS), 서비스형 소프트웨어(SaaS) 등도 평가서비스에 포함한다.
클라우드 업계는 클라우드 품질, 성능 관련 규정을 마련했다고 평가했다.
조호견 이노그리드 대표는 “고시안은 그동안 업계와 논의했던 내용을 대부분 담았다”며 “초기 클라우드 시장 확산에 필요한 기본요건을 명문화했다”고 말했다.
일부 규제조항은 논란이 될 가능성이 높다. 고시안은 관리적 보호조치로 ‘클라우드 서비스 구축을 위해 도입되는 서버, PC, 가상화 솔루션 및 정보보호 제품은 CC인증을 받은 제품만 사용해야 한다’고 명시했다. CC인증 의무규정을 폐지한 금융권에 비해 과도한 규제라는 주장이다.
클라우드 업계 관계자는 “CC인증은 제품에 따라 인증을 받는데 1~2년 가까이 걸린다”며 “클라우드 서비스를 구현하기 위한 핵심 솔루션을 의무화해야 한다는 것은 문제”라고 말했다. 인증에 가로막혀 신기술 적용이 늦춰질 수 있다고 우려했다.
정용철 의료/SW 전문기자 jungyc@etnews.com
